瑞斯云：云数据备份服务最大限度减少停机的安全风险

备份功能在任何云策略中都是至关重要的，但是数据存储的位置也是同等重要的。了解这些自动化备份工具与服务有助于之后规避某些风险。 随着如今发生越来越多的黑客攻击与信息泄露事件，企业用户也逐渐意识到云数据备份服务的重要性了。

一般来说，备份功能的目的在于制作重要数据的副本，并将这个副本写入与数据源不同的介质或不同的存储系统中。这样做可以防范黑客破坏原始数据源和备份数据。 为了满足第二介质的需求，很多企业都选择在公共云上创建备份存储。

但是，如果用户在云中也有源数据，那么在同一云平台上进行备份就存在着一定风险了；当云发生停用事件时，源数据和备份数据都有可能被盗用或无法使用，最近发生的一些此类事件正是最佳的注脚。

不过，大型公共云供应商们运营着多个数据中心，这就在实际上使得用户能够在地理上分散部署他们的源数据和备份数据。 有一些云数据备份服务还向用户提供了他们自己独立的云存储资源作为第二存储介质，同时还提供了在一个公共云中向另一个云平台备份数据的方法。

几家业内领先供应商的云数据备份服务谷歌和亚马逊网络服务（AWS）为用户提供了低成本的独立存储空间用于备份。谷歌的Coldline产品是基于硬盘的，这使得数据访问速度非常之快。

AWS的Glacier服务则使用了磁带存储，其数据访问速度通常需要一到两个小时。亚马逊表示，Glacier将会采用硬盘存储，但事实上从另一个角度来看，磁带存储的低速数据访问对数据私密性也未尝不是一种保护措施，因为它延缓了黑客访问数据的速度。 微软公司提供了他们自己的自动化备份服务——Azure Backup，它为备份文件创建了一个恢复服务保管库，但仅限于在相同的Azure区域内进行备份。虽然这个工具是易于使用的，但是这个模式并不符合第二介质规则。

为了解决这个问题，用户可以使用一个集成的第三方备份工具（例如Scality）来实现从Azure到AWS简单存储服务（S3）的对象存储。 对于很多用户来说，这种S3方式不仅满足了使用第二存储介质的需求，而且让他们能够保留三个备份副本，其中有一个副本被部署在不同位置以实现灾难保护。只要存储在云对象存储区中的数据是由备份工具以另一种格式进行处理的，那么用户就可以防止黑客入侵读取数据内容——当然其假设前提是备份加密密钥是不同于备份系统所使用的密钥的。

不要对源数据使用相同的密钥，应当严格确保密钥访问权限只在少数几个授权管理员手中。 即使是在这种模式下，用户仍然需要防止这些S3副本被恶意删除。为了确保更完备的保护，应使用连续自动备份和永久存储。后者在云的所有备份存储服务中都只是一个可选项，它要求人机交互或者两重认证的身份验证才能删除备份文件。诸如S3备份这样的软件包都提供了这个功能。

连续快照和其他形式的自动备份如果用户不需要使用第二介质的规则，那么采用连续快照的方式可实现对数据流的保护。连续快照是永久存储的一种衍生形式，因为所有的更改都只会对数据存储出现增量变化，绝不会有任何内容被删除或直接覆盖。

快照功能有可能会降低系统性能，但是它们可以让用户能够将数据恢复至任意时间点的状态——这对于勒索攻击来说是特别有用的。 谷歌在它的存储服务中提供了快照功能，而Nasuni提供了一个第三方选项，它可以配合顶级云服务供应商运行。

在用户完成快照功能的设置之后，他们只需要很少的管理员输入，同时其恢复速度也很快。但是，为了确保在停机期间保持数据访问，应在不同的云区域和可用区域中执行这些快照功能。 目前，市场上有着很多的第三方自动化备份工具包，以及备份即服务（BaaS）供应商们凭借他们自己存储设施提供的备份服务。

较著名的软件工具包有Commvault、CloudBerry、Nakivo和Druva，它们都是可以在混合环境中运行的云数据备份服务。Veeam还提供了N2W的云保护管理器作为用于AWS的备份工具。所有这些工具包都可以让用户设置备份源和备份目标，然后让它们按预设计划运行。它们也提供了数据压缩和加密等功能选项。 与Unitrends一样，Rubrik也提供了一个BaaS工具，它也支持在AWS和Azure之间的数据迁移。在不久的将来，迁移至其他云平台将成为这些备份服务的标准功能，从而让“第二介质”需求变得更易于满足。